Aplicar uma autenticação multifator (MFA) uniforme aos recursos da empresa

Apresentação do problema empresarial

Senhas comprometidas são uma origem importante das violações de dados. Quando uma senha é comprometida, o hacker tem as mesmas permissões do funcionário para acesso aos dados corporativos.

A autenticação multifator (MFA, na sigla em inglês) é uma ferramenta importante na proteção de recursos corporativos. A MFA, também chamada de verificação em duas etapas (2SV, na sigla em inglês), exige que os usuários verifiquem a identidade deles com uma informação conhecida, como uma senha, e um dispositivo, como uma chave física ou um código de acesso.

Para proteger contas e dados de usuários, sua empresa decidiu que todos os usuários precisam se autenticar usando a 2SV para acessar recursos corporativos.

Soluções

Se o Cloud Identity for seu provedor de identidade (IdP, na sigla em inglês), você poderá implementar a verificação em duas etapas de várias maneiras. Se você usar um IdP de terceiros, converse com eles sobre a oferta de 2SV disponível.

Você pode selecionar diferentes níveis de aplicação da 2SV:

  • Opcional: o funcionário decide se usará a 2SV.
  • Obrigatória: o funcionário escolhe o método de 2SV.
  • Chaves de segurança obrigatórias: o funcionário precisa usar uma chave de segurança.

Chaves de segurança

As chaves de segurança oferecem o método de 2SV mais forte.

O uso de chaves de segurança oferece a proteção mais forte entre os métodos de 2SV. Os usuários geralmente inserem essa chave física na porta USB de um computador. Quando solicitado, o usuário encosta na chave e gera uma assinatura criptográfica.

Alguns golpistas configuram sites de phishing que se passam pelo Google e pedem códigos de 2SV. Como as chaves de segurança do Google usam criptografia e verificam a legitimidade dos sites acessados pelos usuários, as chaves de segurança são menos propensas a ataques de phishing.

Para usar uma chave de segurança com dispositivos móveis Android, um usuário encosta a chave de segurança no dispositivo de comunicação a curta distância (NFC, na sigla em inglês). Os usuários também podem encontrar opções USB e Bluetooth de baixa energia (BLE, na sigla em inglês) para dispositivos Android. Os dispositivos móveis da Apple precisam de chaves de segurança habilitadas para Bluetooth.

Solicitação do Google

A solicitação do Google é um método alternativo de 2SV.

Em vez de gerar e inserir um código de 2SV, os usuários podem configurar os próprios dispositivos móveis Android ou da Apple para receber uma solicitação de login. Ao fazer login na Conta do Google usando o computador, eles recebem a mensagem "Tentando fazer login?" no dispositivo móvel. Então, basta confirmar com um toque no dispositivo.

App Google Authenticator

O Google Authenticator é um método alternativo de 2SV.

O Google Authenticator gera códigos de 2SV de uso único em dispositivos móveis Android ou da Apple. Os usuários geram um código de verificação no dispositivo móvel e o digitam quando solicitado no computador. Eles podem usar o aplicativo para fazer login em um computador, laptop ou até mesmo no próprio dispositivo móvel.

Códigos alternativos

Códigos alternativos são um método alternativo de 2SV.

Caso um usuário esteja longe do dispositivo móvel ou trabalhe em uma área de alta segurança onde não é possível acessar dispositivos móveis, ele poderá usar um código backup para a 2SV. Os usuários podem gerar códigos de verificação alternativos e imprimi-los com antecedência.

Mensagem de texto ou ligação

Mensagens de texto ou ligações são métodos alternativos de 2SV.

O Google envia um código de 2SV para dispositivos móveis em uma mensagem de texto ou chamada.

Recomendações

Você precisará equilibrar segurança, custo e conveniência ao decidir quais alternativas de verificação em duas etapas são melhores para sua empresa. Independentemente das alternativas selecionadas, recomendamos que você exija a verificação em duas etapas. Isso torna esse procedimento obrigatório.

Use chaves de segurança

Recomendamos a exigência de chaves de segurança para os funcionários que criam e acessam dados com o mais alto nível de segurança. Exija a verificação em duas etapas para todos os outros funcionários e incentive-os a usar as chaves de segurança.

As chaves de segurança oferecem a forma mais segura de verificação em duas etapas. Elas são baseadas no padrão aberto desenvolvido pelo Google como parte da aliança Fast Identity Online (FIDO, na sigla em inglês). As chaves de segurança exigem um navegador compatível nos dispositivos do usuário.

Outras opções

Se o custo e a distribuição forem fatores importantes na sua decisão, uma solicitação do Google ou o aplicativo Google Authenticator são boas alternativas. A solicitação do Google oferece uma melhor experiência ao usuário, porque os usuários simplesmente tocam nos dispositivos quando solicitados, em vez de inserir um código de verificação.

Caso os usuários não possam portar dispositivos móveis, será possível gerar códigos extras para impressão para entrar em áreas de alta segurança.

Nós não recomendamos o uso de mensagens de texto. O Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês) não recomenda mais a verificação em duas etapas baseada em SMS devido ao risco de sequestro de entidades patrocinadas pelo Estado.

Exemplo

A Empresa A é uma empresa grande e bem estabelecida que usa apps e autenticação locais. Para implementar mais segurança, diminuir os custos de suporte e melhorar a escalonabilidade, a empresa quer migrar para o Cloud Identity como o provedor de identidade principal.

A empresa resolveu implantar uma oferta de IDaaS para gerenciar a própria presença na nuvem, o que requer a implantação da 2SV e a conclusão da conformidade até uma determinada data. A equipe de segurança das informações está exigindo 2SV para todos os usuários.

A Empresa A decide usar o Cloud Identity para implementar a verificação em duas etapas. Eles planejam tornar as chaves de segurança obrigatórias para os usuários que trabalham nas iniciativas mais importantes e confidenciais da empresa, bem como para aqueles que acessam as informações dos funcionários. Isso inclui executivos de todas as organizações e pessoas nas organizações de engenharia, finanças e recursos humanos. Todos os outros funcionários são obrigados a usar a verificação em duas etapas. Eles podem selecionar o método de verificação em duas etapas que preferirem e são incentivados a usar chaves de segurança.

A aplicação de chave de segurança varia de acordo com a organização.

Com o objetivo de exigir chaves de segurança apenas para determinados grupos, a TI cria subconjuntos de usuários dentro de organizações maiores, chamados grupos de exceções. Por exemplo, toda a organização de marketing precisa usar a verificação em duas etapas, mas apenas os executivos precisam usar chaves de segurança. A TI cria um grupo executivo dentro de cada organização, como marketing, vendas e suporte, e exige o uso de chaves de segurança nesses grupos executivos.